News
05.03.2015, 09:29 Uhr
Sicherheitslücke Freak: ein Relikt aus dem Kalten Krieg
Bei der Verschlüsselung auf Apple- und Android-Geräten klafft anscheinend seit Jahren eine Lücke. Deren Ursprung reicht sogar in die 1980er-Jahre zurück.
Sicherheitsforscher haben eine seit über zehn Jahren vorhandene Schwachstelle in der Verschlüsselung beim Internetsurfen mit dem Safari-Browser von Apple sowie bei Smartphones mit dem Google-System Android entdeckt. Dadurch konnte der Datenverkehr beim Besuch eigentlich abgesicherter Websites entschlüsselt werden. Allerdings sind dafür Fachwissen und technischer Aufwand notwendig. Die Anbieter kündigten an, die Lücke umgehend zu schliessen.
Uralte Schwachstelle
Die Schwachstelle geht auf die Achtziger- und Neunzigerjahre zurück, als es US-Firmen noch verboten war, effiziente Verschlüsselungstechnologien ins Ausland zu verkaufen. Das Verbot wurde Ende der Neunziger aufgehoben, die alte unsichere Verschlüsselung verschwand allerdings nicht komplett. Beim Ansteuern bestimmter Webseiten, darunter amerikanische Regierungsseiten wie etwa das Webangebot der Bundespolizei FBI, konnten die betroffenen Browser dazu bewegt werden, die veraltete Verschlüsselung zu verwenden. Diesen Fehler stellten Experten des französischen Computerforschungsinstituts Inria und von Microsoft fest. Dadurch könnte die Verschlüsselung mithilfe heutiger Computer innerhalb weniger Stunden geknackt werden.
Google und Apple arbeiten an einem Patch
Die Schwachstelle, die unter der Abkürzung «FREAK» (Factoring attack on RSA-EXPORT Keys) geführt wird, wurde Anfang der Woche in Blog-Beträgen von Sicherheitsforschern und des Netzwerkdienstleisters Akamai bekannt. Eine Apple-Sprecherin sagte der «Washington Post», die Lücke solle im Safari-Webbrowser kommende Woche geschlossen werden. Google erklärte der Zeitung, den Herstellern von Android-Geräten sei bereits eine Lösung für das Problem zur Verfügung gestellt worden. Unklar ist noch, wie die Hersteller der Android-Geräte die Updates verteilen werden.
Webseite mit Security Check
Anwender, die nicht sicher sind, ob sie auch von diesem Fehler betroffen sind, können mit dem SSL-Test der Firma SSL Lab überprüfen, ob der eigene Browser für die Freak-Sicherheitslücke anfällig ist. Wenn auf der Ergebnisseite in der Rubrik «Cipher Suites» Verschlüsselungsverfahren mit «RSA_EXPORT» auftauchen, unterstützt der Browser die schlechten Verschlüsselungsansätze. Forscher der Universität Ann Arbor in Michigan sind durch einen Scan von über 14 Millionenen Webseiten auf 36 Prozent anfällige Seiten gestossen. Primär sind also auch die Webseitenbetreiber gefordert, ihre Webserver auf den neusten Stand zu bringen. Den Forschern zufolge gibt es bislang keine Hinweise dafür, dass Hacker den Fehler schon ausgenutzt haben. Ironischerweise ist sogar NSA.gov anfällig.
Kommentare
Es sind keine Kommentare vorhanden.